Uwaga
- Data publikacji oryginału: 14 października 2025 r.
- Identyfikator KB: 5068202
Ten artykuł zawiera wskazówki dotyczące następujących tematów:
- Organizacje z urządzeniami i aktualizacjami zarządzanymi przez dział informatyczny.
Uwaga
Dostępność tej pomocy technicznej:
Klucze rejestru są zawarte w aktualizacjach wydanych od następującej daty:
11 listopada 2025 r.: W przypadku wersji systemu Windows, które są nadal obsługiwane.
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 20 marcu 2026 r |
|
| 20 luty 2026 r |
|
| 4 listopada 2025 r. |
|
| 11 listopada 2025 r. |
|
| 16 listopada 2025 r. | Zaktualizowano zawartość w sekcji "Testowanie urządzenia przy użyciu kluczy rejestru". Wartość dostępnej aktualizacji została zmieniona z "0x0100" na "0x4000". |
W tym artykule
Wprowadzenie
W tym dokumencie opisano obsługę wdrażania aktualizacji certyfikatów bezpiecznego rozruchu, zarządzania nimi i monitorowania ich przy użyciu kluczy rejestru systemu Windows. Klucze składają się z następujących elementów:
- Jeden klucz do uruchamiania wdrażania certyfikatów i menedżera rozruchu na urządzeniu.
- Dwa klucze monitorowania stanu wdrożenia.
- Dwa klawisze do zarządzania ustawieniami zgody/rezygnacji dla dwóch dostępnych asystentów wdrażania.
Te klucze rejestru można ustawić ręcznie na urządzeniu lub zdalnie za pomocą dostępnego oprogramowania do zarządzania flotą. Inne metody wdrażania, takie jak zasady grupy, usługa Microsoft Intune i WinCS, zostały opisane w artykule Urządzenia z systemem Windows dla firm i organizacji z aktualizacjami zarządzanymi przez dział IT.
Klucze rejestru bezpiecznego rozruchu
W tej sekcji
- Klucze rejestru
- Jak te klucze współpracują ze sobą
- Wdrażanie przy użyciu kluczy rejestru
- Testowanie urządzenia przy użyciu kluczy rejestru
- Wyrażanie zgody i rezygnacja z asyst
- Obsługiwane wersje systemu Windows
Klucze rejestru
Wszystkie klucze rejestru bezpiecznego rozruchu opisane poniżej znajdują się w tej ścieżce rejestru:
Uwaga
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Poniższa tabela zawiera opis poszczególnych wartości rejestru:
| Wartość rejestru | Type (Typ) | Opis i sposób użycia |
|---|---|---|
| Dostępne aktualizacje | REG_DWORD (maska bitowa) | Zaktualizowano flagi wyzwalacza. Określa, które akcje aktualizacji bezpiecznego rozruchu mają być wykonywane na urządzeniu. Ustawienie odpowiedniego pola bitowego w tym miejscu inicjuje wdrażanie nowych certyfikatów bezpiecznego rozruchu i powiązanych aktualizacji. W przypadku wdrożenia dla przedsiębiorstw należy ustawić wartość 0x5944 (szesnastkowy) — wartość, która włącza wszystkie odpowiednie aktualizacje (dodanie nowych certyfikatów CA 2023, zaktualizowanie klucza KEK i zainstalowanie nowego menedżera rozruchu). Ustawienia:
|
| HighConfidenceOptOut | REG_DWORD | Opcja rezygnacji. Dla przedsiębiorstw, które chcą zrezygnować z zasobników o wysokim poziomie zaufania, które zostaną automatycznie zastosowane w ramach LCU. Możesz ustawić w tym kluczu wartość różną od zera, aby zrezygnować z zasobników o wysokim poziomie ufności. Ustawienia
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Opcja zgody. Dla przedsiębiorstw, które chcą zdecydować się na obsługę kontrolowanego wdrażania funkcji (Controlled Feature Rollout, CFR), znaną również jako zarządzana przez firmę Microsoft. Oprócz ustawienia tego klucza zezwól na wysyłanie wymaganych danych diagnostycznych (zobacz Konfigurowanie danych diagnostycznych systemu Windows w organizacji). Ustawienia
|
| DostępneAktualizacjePolityki | REG_DWORD (maska bitowa) |
Tylko w celach informacyjnych — nie należy aktualizować tego klucza za pośrednictwem rejestru. Ten klucz jest używany przez zasady grupy i usługę Intune do przekazywania akcji związanych z bezpiecznym rozruchem do systemu Windows. Reprezentuje zasady ustawione przez usługę Intune lub zasady grupy. |
Wszystkie klucze rejestru bezpiecznego rozruchu opisane poniżej znajdują się w tej ścieżce rejestru:
Uwaga
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Poniższa tabela zawiera opis poszczególnych wartości rejestru:
| Wartość rejestru | Type (Typ) | Opis i sposób użycia |
|---|---|---|
| UEFICA2023Status | REG_SZ (string) | Wskaźnik stanu wdrożenia. Odzwierciedla bieżący stan aktualizacji klucza bezpiecznego rozruchu na urządzeniu. Zostanie ustawiona na jedną z następujących wartości tekstowych:
|
| UEFICA2023Błąd | REG_DWORD (kod) | Kod błędu (jeśli istnieje). W przypadku powodzenia ta wartość pozostaje równa 0 . Jeśli proces aktualizacji napotka błąd, UEFICA2023Error jest ustawiany na niezerowy kod błędu odpowiadający pierwszemu napotkanemu błędowi. Ten błąd oznacza, że aktualizacja bezpiecznego rozruchu nie powiodła się w pełni i może wymagać zbadania lub skorygowania na tym urządzeniu. Jeśli na przykład aktualizacja bazy danych zaufanych podpisów nie powiodła się ze względu na problem z oprogramowaniem układowym, ten klucz rejestru może pokazywać kod błędu z oprogramowania układowego. Gdy ten klucz istnieje i ma wartość różną od zera, zalecamy wyszukiwanie zdarzeń bezpiecznego rozruchu w dziennikach zdarzeń systemu Windows — zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu , aby uzyskać więcej informacji. |
| UEFICA2023ErrorEvent | REG_DWORD (kod) | UEFICA2023ErrorEvent określa identyfikator zdarzenia, którego system Windows użył do zgłoszenia błędu związanego z aplikacją aktualizacji bezpiecznego rozruchu interfejsu UEFI systemu Windows 2023. Ta wartość jest skorelowana z kluczem rejestru UEFICA2023Error i jest wypełniana po ustawieniu klucza, co wskazuje, że system Windows napotkał błąd podczas próby zastosowania aktualizacji bezpiecznego rozruchu. W takim przypadku system Windows rejestruje odpowiednie zdarzenie bezpiecznego rozruchu, udokumentowane na stronie publicznej Zdarzenia aktualizacji zmiennych DB i DBX, co zapewnia dodatkowe informacje o tym, dlaczego aktualizacja nie mogła zostać ukończona i jakie czynności mogły być wymagane. |
| WindowsUEFICA2023Capable | REG_DWORD (kod) | Tylko w celach informacyjnych — nie używaj tego klucza podczas uzyskiwania stanu aktualizacji bezpiecznego rozruchu. Zamiast tego użyj klucza UEFICA2023Status. Ten klucz rejestru jest przeznaczony dla scenariuszy ograniczonego wdrażania i nie jest zalecany do użytku ogólnego. Prawidłowe wartości: 0 – lub klucz nie istnieje - certyfikat "Windows UEFI CA 2023" nie znajduje się w bazie danych 1 - Certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych 2 - Certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych, a system uruchamia się z podpisanego menedżera rozruchu 2023 |
| BucketHash (Skrót wiaderka) | REG_SZ (string) | BucketHash identyfikuje zasobnik wdrożenia, do którego jest przypisane urządzenie w ramach wdrożenia certyfikatu bezpiecznego rozruchu. Wartość jest skrótem pochodzącym z charakterystyki urządzenia i służy do grupowania urządzeń o podobnych atrybutach oprogramowania układowego i platformy na potrzeby wdrażania etapowego i zarządzania ryzykiem. Jest to ten sam skrót zasobnika, który pojawia się w zdarzeniach specyficznych dla urządzenia udokumentowanych na stronie zdarzeń aktualizacji zmiennych DBX i bezpiecznego rozruchu , umożliwiając administratorom skorelowanie stanu rejestru z wpisami dziennika zdarzeń i zrozumienie, w jaki sposób urządzenie jest celem podczas procesu aktualizacji bezpiecznego rozruchu. |
| Poziom ufności | REG_SZ (string) | ConfidenceLevel wskazuje ocenę ufności skojarzoną z zasobnikiem wdrożenia bezpiecznego rozruchu urządzenia. Ta wartość odpowiada wartości BucketConfidenceLevel przypisywanej przez system Windows do urządzenia na podstawie zaobserwowanego zachowania aktualizacji w podobnych konfiguracjach sprzętu i oprogramowania układowego. Ten sam poziom ufności występuje w przypadku zdarzeń specyficznych dla urządzenia udokumentowanych na stronie zdarzeń aktualizacji zmiennych DBX i bezpiecznego rozruchu , co pozwala administratorom na skorelowanie wartości rejestru z wpisami dziennika zdarzeń. Aby uzyskać więcej informacji na temat możliwych wartości tego klucza, zobacz opisy zdarzeń w dzienniku zdarzeń urządzenia. |
Jak te klucze współpracują ze sobą
Administratorzy IT konfigurują wartość rejestru AvailableUpdates na 0x5944, co sygnalizuje systemowi Windows wykonanie aktualizacji i instalacji klucza bezpiecznego rozruchu na urządzeniu.
W trakcie procesu system aktualizuje stan UEFICA2023 z NotStarted do InProgress, a na koniec do Updated po powiedzeniu. Po pomyślnym przetworzeniu każdego bitu 0x5944 jest on czyszczony.
Jeśli którykolwiek krok zakończy się niepowodzeniem, kod błędu zostanie zarejestrowany w UEFICA2023Error (a stan pozostaje w toku).
Ten mechanizm zapewnia administratorom jasny sposób wyzwalania i śledzenia wdrożenia dla każdego urządzenia.
Wdrażanie przy użyciu kluczy rejestru
Wdrożenie na grupie urządzeń składa się z następujących kroków:
- Ustaw wartość rejestru AvailableUpdates na 0x5944 na każdym urządzeniu, które chcesz zaktualizować.
- Monitoruj klucze rejestru UEFICA2023Status i UEFICA2023Error, aby zobaczyć, czy urządzenia robią postępy. Zadanie, które przetwarza te aktualizacje, jest uruchamiane co 12 godzin. Pamiętaj, że aktualizacja menedżera rozruchu może nastąpić dopiero po ponownym uruchomieniu.
- Zbadaj problemy, jeśli wystąpią. Jeśli UEFICA2023Error ma wartość różną od zera na urządzeniu, możesz sprawdzić dziennik zdarzeń pod kątem zdarzeń związanych z tym problemem. Zobacz Zdarzenia aktualizacji zmiennych bezpiecznego rozruchu i DBX , aby uzyskać pełną listę zdarzeń bezpiecznego rozruchu.
Uwaga dotycząca ponownych uruchomień: Do zakończenia procesu może być wymagane ponowne uruchomienie, ale zainicjowanie wdrażania aktualizacji bezpiecznego rozruchu nie spowoduje ponownego uruchomienia. Jeśli wymagane jest ponowne uruchomienie, wdrożenie bezpiecznego rozruchu polega na ponownym uruchomieniu w normalnym trybie korzystania z urządzenia.
Testowanie urządzenia przy użyciu kluczy rejestru
Podczas testowania poszczególnych urządzeń w celu zapewnienia, że urządzenia będą poprawnie przetwarzać aktualizacje, klucze rejestru mogą być prostym sposobem testowania.
Aby przetestować ten system, uruchom każde z poniższych poleceń oddzielnie w wierszu polecenia administratora programu PowerShell:
Uwaga
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Ręcznie uruchom ponownie system, gdy wartość AvailableUpdates stanie się 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Pierwsze polecenie inicjuje wdrożenie certyfikatu i menedżera rozruchu na urządzeniu. Drugie polecenie powoduje natychmiastowe uruchomienie zadania, które przetwarza klucz rejestru AvailableUpdates . Zwykle zadanie jest uruchamiane co 12 godzin. Klucz rejestru powinien szybko zmienić się na 0x4100. Ponowne uruchomienie i ponowne uruchomienie zadania spowoduje zaktualizowanie menedżera rozruchu i 0x4000 AvailableUpdates. Zobacz Rozwiązywanie problemów, aby uzyskać więcej informacji na temat zachowania AvailableUpdates.
Wyniki można znaleźć, obserwując klucze rejestru UEFICA2023Status i UEFICA2023Error oraz dzienniki zdarzeń zgodnie z opisem w zdarzeniach aktualizacji zmiennej DB bezpiecznego rozruchu.
Włączanie i wyłączanie asyst
Klucze rejestru HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogą służyć do zarządzania dwoma "asystami" wdrażania opisanymi na urządzeniach z systemem Windows z aktualizacjami zarządzanymi przez dział IT.
- Klucz rejestru HighConfidenceOptOut steruje automatycznymi aktualizacjami urządzeń za pośrednictwem aktualizacji zbiorczych. W przypadku urządzeń, na których firma Microsoft zaobserwowała pomyślną aktualizację określonych urządzeń, będą one uznawane za urządzenia o "wysokim poziomie zaufania", a aktualizacje certyfikatu bezpiecznego rozruchu będą następować automatycznie. Ustawieniem domyślnym jest opcja wybierania.
- Klucz rejestru MicrosoftUpdateManagedOptIn umożliwia działom IT wyrażenie zgody na wdrażanie automatyczne zarządzane przez firmę Microsoft. To ustawienie jest domyślnie wyłączone i otrzymuje wartość 1 zgody. To ustawienie wymaga również, aby urządzenie wysyłało opcjonalne dane diagnostyczne.
Obsługiwane wersje systemu Windows
W poniższej tabeli przedstawiono obsługę w oparciu o klucz rejestru.
| Klawisz | Obsługiwane wersje systemu Windows |
|---|---|
|
Dostępne aktualizacje UEFICA2023Status UEFICA2023Błąd |
Wszystkie wersje systemu Windows obsługujące bezpieczny rozruch (Windows Server 2012 i nowsze wersje systemu Windows). Uwaga: Chociaż dane dotyczące pewności są zbierane w systemie Windows 10, wersjach LTSC, 22H2 i nowszych wersjach systemu Windows, można je stosować do urządzeń z wcześniejszymi wersjami systemu Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Zdarzenia błędów bezpiecznego rozruchu
Zdarzenia błędów mają krytyczną funkcję raportowania, aby informować o stanie bezpiecznego rozruchu i postępie. Aby uzyskać informacje o zdarzeniach błędów, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX. Zdarzenia błędów są aktualizowane przy użyciu dodatkowych informacji o zdarzeniach bezpiecznego rozruchu.